Sebuah Private Source Threat Intelligence mengamati threat actor yang tidak diketahui identitasnya dimana berhasil mengekstrak access  key Amazon Web Service (AWS) dari sebuah file environment (.env) yang terekspos secara public pada instance honeypot. Sekitar Bulan Maret 2025 sampai April 2025, threat actor berhasil menggunakan access key untuk mengakses environment AWS pada honeypot tersebut dan mengenumerasi AWS Simple Email Service (SES).

1. Initial Access via Exposed Credentials : Threat actor menemukan honeypot yang dihosting pada environment AWS dimana pada honeypot tersebut terdapat file .env yang diekspos secara public.
2. Post-Compromise Exploration and Enumeration : Setelah mendapatkan file .env tersebut, threat actor menemukan access key AWS didalamnya dan berhasil digunakan untuk mengakses environment honeypot. Kemudian threat actor mengenumerasi seluruh AWS service yang berjalan termasuk AWS Simple Email Service (SES) guna melancarkan serangan phishing.
3. Establishing Persistence : Threat actor membuat user IAM baru dengan nama yang mirip dengan user eksisting guna menjaga ketersediaan akses terhadap AWS tersebut.
4. Privilege Escalation via Brute-Force: Kemudian threat actor melakukan percobaan eskalasi privilege pada AWS tersebut dengan metode brute-force pada IAM, untuk mencari role name atau ID yang valid.

1. Dilarang mengekspos file .env secara public
2. Gunakan instance role untuk mengakses AWS baik manual maupun yang disetup secara otomatis.
3. Rutin mereviu log AWS CloudTrail untuk mengidentifikasi sejak dini percobaan serangan brute-force pada IAM.